VirusTotal on paljastanut vuoden mittaisen haittaohjelmakampanjan, jossa käytettiin haitallisia SVG-kuvatiedostoja jäljittelemään Kolumbian oikeusjärjestelmää, vältämällä perinteistä virustorjunta-havaitsemista. Löytö tapahtui tällä viikolla sen jälkeen, kun VirusTotal päivitti AI-käyttöisen Code Insight-alustansa SVG-tiedostojen analysointiin. Tämä yksittäinen löytö antoi tutkijoille mahdollisuuden paljastaa laajemman kampanjan, johon liittyy yli 500 tiedostoa. Operaatio korostaa hyökkääjien kasvavaa suuntausta, joka käyttää käsikirjoitettuja kuvia. src=”https://winbuzzer.com/wp-content/uploads/2024/11/cybersecurity-cybercrime-cyberattacks-hackers.webp”>
ai tarttuu siihen, mitä perinteinen antivirus ohitti
läpimurto tuli Juuri VirusTotal-päivityksen jälkeen koodi-työkaluunsa lisäsi tukea SWF-ja SVG-tiedostojen analysointiin. Lähes välittömästi väitettiin epäilyttävä SVG-tiedosto, ettei virustentorjunta-moottoria ole merkitty haitallisiksi. AI-analyysi kertoi kuitenkin erilaisen tarinan.
koodiesityksen yhteenveto oli suora ja huolestuttava. Se kertoi, että “Tämä SVG-tiedosto suorittaa upotetun JavaScript-hyötykuorman renderoinnin yhteydessä. Käsikirjoitusdekoodat ja injektoi Base64-koodatun HTML-tietojenkalastelu-sivun, joka hoitaa Kolumbian hallituksen oikeusjärjestelmän portaalia.”Hyvänlaatuinen tiedosto.
kuinka SVG-kuvasta tulee haittaohjelmien pudottaja
hyökkääjät asettavat yhä enemmän SVG Tämä kampanja käytti tätä kykyä täysimääräisesti. Haitallinen SVG, kun se on avattu selaimessa, tekee väärennetyn hallituksen portaalin.
Tämä portaali simuloi tiedostotaulun etenemispalkissa, rakentamalla käyttäjän luottamusta, kun se suorittaa hyötykuormansa. Taustalla upotetut JavaScript deadoi suuren base64-merkkijonon, joka on haitallinen zip-arkisto ja -sanat. Arkiston salasana näytetään kätevästi sivulla.
Ladattu arkisto sisältää laillisen suoritettavan ja haitallisen DLL: n. Kun käyttäjä suorittaa suoritettavan, se lataa DLL: n asentamalla lisää haittaohjelmia järjestelmään. Tämä monivaiheinen prosessi on suunniteltu ohittamaan tietoturvatarkastukset jokaisessa vaiheessa.
yhdestä tiedostosta vuoden mittaiseen kampanjaan
, joka on aseistettu AI: n alkuperäisillä havainnoilla, virustrotaliaaliset tutkijat kääntyivät paljastamaan operaation täydellisen laajuuden. Yksinkertainen hakukysely Virustattal-älykkyydessä, joka perustuu koodiesitysraporttiin, pänsi heti 44 samanlaista, havaitsemattomia SVG-tiedostoja.
Hyökkääjät tekivät tärkeän operatiivisen turvallisuusvirheen: jättäen espanjankieliset kommentit koodiinsa, kuten “Poliformismo_MASIVO_SEGURO”(massiivinen turvallinen polymorfismi). Tutkijat käyttivät näitä ainutlaatuisia jousia yara-säännön luomiseen, allekirjoituksen metsästysuhkien suhteen.
Retrohunt käyttämällä tätä sääntöä VirusToTalin tietokannassa palautettiin 523 ottelua. Varhaisin näyte, joka on päivätty 14. elokuuta 2024, toimitettiin myös Kolumbiasta ja myös nolla AV-havainnoista tuolloin. Tämä paljasti, että kampanja oli toiminut menestyksekkäästi yli vuoden ajan. Kuten Winbuzzer kertoi aiemmin tänä vuonna, turvallisuustutkijat ovat nähneet dramaattisen SVG-pohjaisten tietojenkalasteluhyökkäysten lisääntymisen koko vuoden 2025 ajan. Nämä tiedostot ohittavat usein sähköpostiyhdyskäytävät, koska ne luokitellaan kuva-mime-tyypillä.
Tämä tekniikka ei ole täysin uusi; Cisco Talos dokumentoi Qakbot-haittaohjelmat, jotka käyttävät SVG: tä hyötykuorman salakuljetukseen vuonna 2022. Nykyinen aalto keskittyy kuitenkin suoraan valtatietojen varkauksiin ja haittaohjelmien toimitukseen, kohdistaen usein pilvipalveluita.
Näiden taktiikoiden kehitys osoittaa vakiona kissan ja hiiren pelin kyberturvallisuudessa. Kuten VirusTotalin Bernardo Quintero totesi:”Tässä koodi-oivalluksella auttaa eniten: kontekstin antaminen, ajan säästö ja auttaminen keskittymään siihen, mikä on todella merkitystä. Se ei ole taikuutta, eikä se korvaa asiantuntija-analyysiä”
Kaspersky-tutkijat toistuvat tämän tunteen varoitukseen, että”SVG: n käyttöä koskevassa hyökkäyksessä”. potentiaali kohdennettuihin operaatioihin.